jetstack/version-checker

does not seem to support kube2iam for ECR access

Open

#66 aperta il 7 dic 2020

Vedi su GitHub
 (3 commenti) (4 reazioni) (0 assegnatari)Go (80 fork)auto 404
enhancementhelp wanted

Metriche repository

Star
 (771 star)
Metriche merge PR
 (Merge medio 1m) (2 PR mergiate in 30 g)

Descrizione

Hello,

I have a K8S cluster deployed in AWS with kubeadm. Some of my images comes from the ECR of the K8S AWS account and I wanted to use kube2iam annotation on version-checker pod to allow it to check for image tags but it does not seem to work :

version-checker pod :

apiVersion: v1
kind: Pod
metadata:
  annotations:
    enable.version-checker.io/version-checker: "true"
    iam.amazonaws.com/role: ecr-read-profile
[...]

version-checker logs :

time="2020-12-07T14:47:39Z" level=error msg="error syncing 'checkoutservice-78b576896d-9pk6z/microdemo': failed to sync pod checkoutservice-78b576896d-9pk6z/microdemo: failed to check container image \"server\": failed to get tags from remote registry for \"<AWS_ACCOUNT_ID>.dkr.ecr.eu-central-1.amazonaws.com/google-samples/microservices-demo/checkoutservice\": failed to describe images: EmptyStaticCreds: static credentials are empty, requeuing" module=controller

Does the ECR authent only work with static credentials ? Would it be possible to support kube2iam to avoid giving the pod static key and password ? Thanks

Guida contributor

Direzione di ricerca
Indaga la logica di autenticazione ECR nella codebase di version checker, probabilmente nei pacchetti del controller o del client ECR. Il problema segnala che vengono utilizzate credenziali statiche; ricerca come assumere dinamicamente un ruolo IAM tramite kube2iam (ad esempio, utilizzando AssumeRole di AWS SDK o i metadati EC2). Cerca eventuali provider di credenziali esistenti o la funzione che crea il client ECR. Nessuna PR collegata; mancano indicazioni dal maintainer.
Tech stack
gokubernetesaws
Dominio
authenticationclouddevops
Tipo issue
Funzionalità
DifficoltàQuanto dovrebbe essere impegnativa per un nuovo contributor.
3
Tempo stimatoTempo stimato per completare e verificare uno scope piccolo.
3-5 giorni
Stato attivitàQuanto è probabile che la issue sia ancora attiva e reviewable.
Datata
ChiarezzaQuanto chiaramente la issue descrive problema, scope e risultato atteso.
Chiara
Prerequisiti
Go programmingKubernetes IAMkube2iam concept
Adatta ai principiantiQuanto la issue è adatta a contributor alla prima esperienza.
50